Πρωτόκολλα Ασφάλειας στο Διαδίκτυο (1)

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Slide 1 Δίκτυα Τηλεπικοινωνιών. Slide 2 Δίκτυα Τηλεπικοινωνιών Μία κυψέλη ΑΤΜ αποτελείται από 53 οκτάδες και χωρίζεται σε δύο μέρη:  Την επικεφαλίδα.
Advertisements

Από Άκρο σε Άκρο Αποφυγή Συμφόρησης
ΠΜΣ ΔΥΝΗΤΙΚΕΣ ΚΟΙΝΟΤΗΤΕΣ
ΕΙΣΑΓΩΓΗ ΣΤΑ ΔΙΚΤΥΑ ΕΠΙΚΟΙΝΩΝΙΑΣ
Διαχείριση Δικτύων Ευφυή Δίκτυα Άσκηση 1: Χρήση βασικών εργαλείων για συλλογή πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου.
ΤCP/IP Τι είναι; Σύντομο Ιστορικό
Αρχιτεκτονικές Ασφάλειας στα B3G Δίκτυα Χριστόφορος Νταντογιάν Υποψ. Διδάκτορας Τμήμα Πληροφορικής και Τηλεπικοινωνιών.
Υπηρεσίες δικτύων επικοινωνίας
Henric Johnson1 Κεφάλαιο 3 Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση αυθεντικότητας μηνυμάτων Henric Johnson Blekinge Institute of Technology, Sweden.
Δίκτυα Ι Βπ - 2ο ΕΠΑΛ ΝΕΑΣ ΣΜΥΡΝΗΣ 2011.
Τμήμα Αρχειονομίας- Βιβλιοθηκονομίας Ιόνιο Πανεπιστήμιο
Ασφάλεια δικτύων.
Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens.
OSI Μοντέλο αναφοράς.
Άσκηση 6 Ασφάλεια Δικτύων.
Ασφάλεια Δικτύων (Computer Security). Τι Εννοούμε με τον Όρο Ασφάλεια Δικτύων; Ασφάλεια  Μόνο ο αποστολέας και ο προοριζόμενος παραλήπτης μπορούν να.
Τεχνολογία TCP/IP TCP/IP internet είναι ένα οποιοδήποτε δίκτυο το οποίο χρησιμοποιεί τα πρωτόκολλα TCP/IP. Διαδίκτυο (Internet) είναι το μεγαλύτερο δίκτυο.
Ασφάλεια σε Ασύρματα Τοπικά Δίκτυα ΙΕΕΕ “IEEE WLAN Security” Μεταπτυχιακή Εργασία Μαλατράς Απόστολος Ο.Π.Α. MScIS Φεβρουάριος 2003.
Internet & Ηλεκτρονικό Εμπόριο Μάϊος 2001 NETMODE Network Management & Optimal Design Lab.
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
Πρωτόκολλο IP.
Διαχείριση Δικτύων Ευφυή Δίκτυα Άσκηση 1: Χρήση βασικών εργαλείων για συλλογή πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 14/11/07. 2 Κατηγορίες Λειτουργιών Διαχείρισης ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ Fault (Βλάβες) Configuration (Διάρθρωση) Accounting (Λογιστική) Performance.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
Ασφάλεια σε Ασύρματα Τοπικά Δίκτυα ΙΕΕΕ “IEEE WLAN Security” Μεταπτυχιακή Εργασία Μαλατράς Απόστολος Ο.Π.Α. MScIS Φεβρουάριος 2003.
Κεφάλαιο 7 Διαδικτύωση-Internet 7.3 Πρωτόκολλο TCP.
Κεφάλαιο 7 Διαδικτύωση-Internet 7.5 Πρωτόκολλο ΙΡ (Internet Protocol)
Πανεπιστήμιο Πειραιώς Τμήμα Διδακτικής της Τεχνολογίας & Ψηφιακών Συστημάτων Ζητήματα ασφάλειας στις εφαρμογές της ψηφιακής τηλεόρασης Σωκράτης Κ. Κάτσικας.
To πρωτόκολλο διαδικτύου IP -χρησιμοποιείται από αποστολέα και παραλήπτη που μπορεί να βρίσκονται σε διαφορετικά δίκτυα για να ανταλλάξουν πακέτα πληροφοριών.
Πρωτόκολλα Ασφάλειας στο Διαδίκτυο (2) Διδάσκων: Δρ. Γενειατάκης Δημήτρης Τμήμα Επιστήμης & Τεχνολ. Τηλεπικοινωνιών Πανεπιστήμιο Πελοποννήσου.
Εισαγωγή στην Επιστήμη των Υπολογιστών Κωδικός Μαθήματος: 2895 Κωδικός Διαφανειών: MKT110 Γεωπονικό Πανεπιστήμιο Αθηνών Γενικό Τμήμα Εργαστήριο Πληροφορικής.
S/MIME Στα πρώτα στάδια ανάπτυξης η εφαρμογή υποστήριζε αποκλειστικά τη μεταφορά κειμένου μεταξύ των χρηστών Το πρωτόκολλο MIME (Multipurpose Internet.
1 Πληροφορική Ι Ενότητα 10 : Ασφάλεια Δρ. Γκόγκος Χρήστος Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου.
Διαχείριση & Ασφάλεια Δικτύων Περίγραμμα Θεματικών Ενοτήτων Διδάσκων: Δρ. Γενειατάκης Δημήτρης Τμήμα Επιστήμης & Τεχνολ. Τηλεπικοινωνιών.
Διαχείριση & Ασφάλεια Δικτύων Επισκόπηση Θεμάτων Διδάσκων: Δρ. Γενειατάκης Δημήτρης Τμήμα Επιστήμης & Τεχνολ. Τηλεπικοινωνιών Πανεπιστήμιο.
Προχωρημένα Θέματα Δικτύων
ΔΙAΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Ονομάζουμε “Διαχείριση Δικτύων” όλες τις ενέργειες που έχουν σκοπό τον έλεγχο λειτουργίας, ασφάλειας και απόδοσης, την αντιμετώπιση.
CSMA/CA στο Κατανεμημένα Ενσωματωμένα Συστήματα
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
User Datagram Protocol (UDP)
3.2 διάσπαση πακέτου σε κομμάτια
Προχωρημένα Θέματα Δικτύων
Προχωρημένα Θέματα Δικτύων
Secure Sockets Layer (SSL)
Διδάσκων: Δρ. Γενειατάκης Δημήτρης
Κεφάλαιο 4. Επίπεδο μεταφοράς
Internet Control Message Protocol (ICMP)
Κεφάλαιο 10: Υπηρεσίες και εφαρμογές Διαδικτύου
Δίκτυα Επικοινωνιών Ενότητα # 6: Επίπεδο Μεταφοράς TCP/UDP
TCP/IP.
ΑΣΚΗΣΗ ΔΙΚΤΥΑ ΜΕΤΑΓΩΓΗΣ
IPSec Χαρακτηριστικά Η IPSec (IP Security) προδιαγραφή περιγράφει ένα γενικό πλαίσιο ασφάλειας και καθορίζει μία σειρά από διαδικασίες και πρωτόκολλα,
ΥΠΗΡΕΣΙΕΣ ΚΑΙ ΕΦΑΡΜΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥ 10.1 Υπηρεσίες Διαδικτύου
Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 8 – Εργαστηρίο
Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 7
Κεφάλαιο 7 Διαδικτύωση- Internet
Network Address Translation (NAT)
Κεφάλαιο 7: Διαδικτύωση-Internet
Κεφάλαιο 7: Διαδικτύωση-Internet
Λύσεις Ασφάλειας στο Επίπεδο Διασύνδεσης
Κεφάλαιο 7: Διαδικτύωση-Internet Μάθημα 7.9: Δρομολόγηση
Κεφάλαιο 7: Διαδικτύωση-Internet
Το αυτοδύναμο πακέτο και η δομή του
Κεφάλαιο 7:Διαδικτύωση-Internet
Κεφάλαιο 7: Διαδικτύωση-Internet
Κεφάλαιο 7: Διαδικτύωση-Internet
Διδάσκων: Δρ. Γενειατάκης Δημήτρης
Διαχείριση & Ασφάλεια Δικτύων Διάλεξη 1 - Εργαστηρίο
Κεφάλαιο 4. Επίπεδο μεταφοράς
Δίκτυα Ι Βπ - 2ο ΕΠΑΛ ΝΕΑΣ ΣΜΥΡΝΗΣ 2011.
Μεταγράφημα παρουσίασης:

Πρωτόκολλα Ασφάλειας στο Διαδίκτυο (1) Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολ. Τηλεπικοινωνιών Πρωτόκολλα Ασφάλειας στο Διαδίκτυο (1) Διδάσκων: Δρ. Γενειατάκης Δημήτρης e-mail:dgen@uop.gr

Περιεχόμενα Secure Socket Layer (SSL) IP Security (ΙPsec)

Γιατί Ασφάλεια στο IP? Τροποποιήση των δεδομένων Πλαστοπρωσοπία Υποκλοπή δεδομένων Επιθέσεις επανάληψης

Υποκολοπή/Τροποποίηση Γιατί Ασφάλεια στο IP? IP spoofing Υποκολοπή/Τροποποίηση Pay Load

Ασφάλεια στην Αρχιτεκτονική του Διαδικτύου Εφαρμογών Μεταφοράς TLS/SSL Δικτύου IP Security Φυσικό

IP Security Μη ασφαλές IP Aσφαλές IP TCP/UDP HTTP IP TCP/UDP HTTP IP

Υπηρεσίες IP Security Ασφάλειας Αυθεντικοποίηση Ακεραιότητα Εμπιτευτικότητα Παρέχει προστασία από αναξιόπιστες συνδέσεις Πιστοποίηση της εισερχόμενης κίνησης Πηγής Παρέχει διαφάνεια στα υπερ-άνω από αυτό πρωτόκολλα

Προδιαγραφές του IPSec RFC 2401, Γενική περιγραφή αρχιτεκτονική ασφαλείας RFC 2402, Περιγραφή της διαδικασίας πιστοποίησης RFC 2406, Περιγραφή της διαδικασίας κρυπτογράφησης RFC 2408, Προδιαγραφές λειτουργιών διαχείρισης κλειδιών

Μηχανισμοί Ασφάλειας Μηχανισμός Αυθεντικοποίσης Κεφαλίδας (Authentication Header) Μηχανισμός Κρυπτογράφησης (Encapsulating Security Payload)

Δομικά Στοιχεία IPSec IPSec AH ESP Διαχ. Κλειδιών Αλγόριθμος Αυθεντικοποίησης Αλγόριθμος Κρυπτογράφησης

Προστασία IP Πακέτου

Τρόποι Λειτουργίας Κατάσταση Λειτουργίας Μεταφοράς(Transport Mode) Παρέχει κυρίως προστασία σε πρωτόκολλα ανωτέρου επιπέδου δε λαμβάνεται υπόψη η κεφαλίδα του IP πακέτου Kατάσταση Λειτουργίας Σήραγγας (Tunnel Mode) Παρέχει προστασία σε ολόκληρο το πακέτο IP Απαιτείται η δημιουργία μιας νέας κεφαλίδας IP To ωφέλιμο φορτίο θεωρείται το προστατευμένο πακέτο IP

Τρόποι Λειτουργίας Λειτουργία Σήραγγας Λειτουργία Μεταφοράς

Εφαρμογή του IPSec

Χρήσεις IPSec Δημιουργία ιδιωτικών εικονικών δικτύων (virtual private network) LAN/WAN Ασφαλής απομακρυσμένη πρόσβαση Διασφάλιση υπαρχόντων εφαρμογών Mail Telnet Μεταφορές αρχείων κτλ

Συσκευές IPSec Δικτυακές συσκευές Σε τερματικές συσκεύες routers/firewalls Σε τερματικές συσκεύες προσωπικός υπολογιστής

Σενάρια Χρήσης

Μηχανισμοί Ασφάλειας Μηχανισμός Αυθεντικοποίσης Κεφαλίδας (Authentication Header) Υπηρεσίες Αυθεντικότητας Υπηρεσίες Ακεραιότητας Μηχανισμός Κρυπτογράφησης (Encapsulating Security Payload) Υπηρεσίες Εμπιστευτικότητας

Μηχανισμοί Ασφάλειας Οι αλγόριθμοι που χρησιμοποιούνται προσδιορίζονται στο συσχετισμό ασφάλειας HMAC (MD5,SHA-1) Στον υπολογισμό λαμβάνονται: Πεδία του IP πακέτου που δεν έχουν τροποποιηθεί Όλα τα δεδομένα των ανωτέρω επιπέδο Το μυστικό κλειδί

Πεδία Τροποποίησης

Δομικά Στοιχεία IPSec IPSec AH ESP Διαχ. Κλειδιών Αλγόριθμος Αυθεντικοποίησης Αλγόριθμος Κρυπτογράφησης

Authentication Header Παρέχει αυθεντικοποίηση προέλευσης δεδομένων ακεραιότητα στα IP πακέτα Προστασία από επιθέσεις επανάληψης Δε λαμβάνει υπόψη του τα τμήματα του IP πακέτου που τροποποιούνται στην κατάσταση λειτουργιάς μεταφοράς Στην κατάσταση σήραγγας δημιουργεί μια νέα κεφαλίδα και παρέχει υπηρεσίες ασφάλειας σε ολόκληρο το πακέτο

Δομή AH

Δομή ΑΗ Next Header: Δηλώνει τον τύπο της επικεφαλίδας που ακολουθεί την ΑΗ. (ESP, TCP, UDP, ICMP). 8 bit Payload Length: Είναι το μήκος ολόκληρης της ΑΗ επικεφαλίδας σε ψηφιολέξεις των 8 bit Reserved: Το πεδίο αυτό φυλάσσεται για μελλοντική χρήση. Στην παρούσα φάση είναι μηδενικό. 16 bit SPI: Των 32 bit προσδιορίζει το SA για το πακέτο από την πλευρά του παραλήπτη (receiver’s SAD)

Δομή ΑΗ Sequence num field: Είναι ο αριθμός των μηνυμάτων που στάλθηκαν από τον αποστολέα στον παραλήπτη, χρησιμοποιώντας τον τρέχοντα SA (Ξεκινάει από το 0) Authentication data: Πεδίο μεταβλητού μήκους που ικανοποιεί το βασικό στόχο του AH. Περιέχει τον έλεγχο ακεραιότητας (ICV), το οποίο χρησιμοποιείται από τον παραλήπτη για να ελέγξει την ακεραιότητα και την αυθεντικότητα του μηνύματος

Υπολογισμός Δεδομένων AH Χρήση των δεδομένων IP τα οποία δεν τροποποιούνται Υπολογισμός

Πεδία Τροποποίησης

Μηχανισμός ΑΗ: Κατάσταση Μεταφοράς Δημιουργία ενός προσωρινού IP πακέτου στο οποίο δεν συμπεριλαμβάνονται τα πεδιά που υπόκεινται τροποποίηση Υπολογισμός μιας HMAC του προσωρινού IP πακέτου Προσάρτηση του αποτελέσματος στο IP πακέτο

Μηχανισμός ΑΗ: Κατάσταση Μεταφοράς Δεδομένα IP ΑΗ Κατάσταση Μεταφοράς Αυθεντικοποίηση (παραλείπονται τα τμήματα της κεφαλίδας που τροποποιούνται

Mηχανισμός AH: Κατάσταση Σήραγγας Δημιουργία ενός νέου IP πακέτου όπου ενθυλακώνει το αρχικό πακέτο IP Υπολογισμός μιας HMAC του ενθυλακωμένου IP πακέτου Προσάρτηση του αποτελέσματος στο νέο IP πακέτο

Mηχανισμός AH: Κατάσταση Σήραγγας IP Δεδομένα Κατάσταση Σήραγγας Δεδομένα IP ΑΗ Nέα Κεφαλίδα Αυθεντικοποίηση (παραλείπονται τα τμήματα της κεφαλίδας που τροποποιούνται

Δομικά Στοιχεία IPSec IPSec AH ESP Διαχ. Κλειδιών Αλγόριθμος Αυθεντικοποίησης Αλγόριθμος Κρυπτογράφησης

Μηχανισμός Encapsulating Security Payload Παρέχει υπηρεσίες εμπιστευτικότητας ακεραιότητας αυθεντικότητας

Δομή ESP

Δομή ESP SPI: το πεδίο των 32-bits το οποίο αναφέρεται στο δείκτη παραμέτρων ασφαλείας από την πλευρά του παραλήπτη Sequence Number Field: Το πλήθος των μηνυμάτων που στάλθηκαν κάνοντας χρήση του τρέχοντος SA Payload Data Field: Μεταβλητού μήκους πεδίο, το οποίο περιέχει μια κρυπτογραφημένη έκδοση (DES-CBC) των αρχικών περιεχομένων του πακέτου. Το πεδίο μπορεί να περιέχει και μη κρυπτογραφημένα στοιχεία τα οποία απαιτούνται ως είσοδος στον αλγόριθμο αποκρυπτογράφησης (Initialization Vector, IV)

Δομή ESP Padding: Προαιρετικό πεδίο, που χρησιμοποιείται για συμπλήρωση στον αλγόριθμο κρυπτογράφησης (block cipher) Pad length: Ο συνολικός αριθμός bytes padding που περιέχονται στο προηγούμενο πεδίο

Δομή ESP Next Header: Ο τύπος της επικεφαλίδας που ακολουθεί την ESP επικεφαλίδα (TCP, UDP, ICMP) Authentication Data Field: Προαιρετικό μεταβλητού μήκους πεδίο που περιέχει το ICV του πακέτου, εφόσον αυτό πρόκειται να αυθεντικοποιηθεί και να ελεγχθεί η ακεραιότητά του Σημειώνεται ότι τα πεδία Padding, Pad length και Next Header είναι κρυπτογραφημένα και ονομάζονται ESP Trailer

Αλγόριθμοι Κρυπτογράφησης 3DES RC5 IDEA CAST Blowfish

Μηχανισμός ESP σε κατάσταση μεταφοράς Κρυπτογράφηση των δεδομένων των ανωτέρων πρωτοκόλλων Δεν υπάρχουν επιπρόσθετες κεφαλίδες Τα δεδομένα ανωτέρου πρωτοκόλλου κρυπτογραφούνται και ενθυλακώνονται στο ESP Το ESP θεωρείται το ωφέλιμο φορτίου του IP πακέτου Οι ενδιάμεσοι κόμβοι δεν έχουν δυνατότητα πρόσβαση στο ωφέλιμο φορτίο

Μηχανισμός ESP σε κατάσταση μεταφοράς IP TCP ESP σε κατάσταση Μεταφοράς IP ESP κεφ. TCP ESP επιπρ ESP Αυθ. Κρυπτογράφηση Αυθεντικοποίηση

Μηχανισμός ESP σε κατάσταση σήραγγας Όλοκληρο το IP πακέτο κρυπτογραφείται Υπάρχει πρόβλημα δρομολόγησης Για αυτό δημιουργείται ένα νέο πακέτο στο οποίο ενθυλακώνεται το κρυπτογραφημένο

Μηχανισμός ESP σε κατάσταση σήραγγας Με τον τρόπο αυτό δημιουργείται μια ασφαλής δίοδος- σήραγγα μεταξύ των επικοινωνούντων μερών Μείωση απόδοσης Επιπρόσθετα δεδομένα (νέα κεφαλίδα)

Μηχανισμός ESP σε κατάσταση σήραγγας IP TCP ESP σε κατάσταση Σήραγγας Νέα IP ESP κεφ. IP TCP ESP επιπρ ESP Αυθ. Κρυπτογράφηση Αυθεντικοποίηση

Προστασία από Επιθέσεις Επανάληψης Το πεδίο Sequence Number έχει ως στόχο την αποτροπή επιθέσεων επανάληψης Το SN σε κάθε αποστολή νέου μηνύματος αυξάνεται Σε περίπτωση όπου η τιμή του SN φτάσει το όριο 2^32-1 τότε θα πρέπει να γίνει εγκαθίδρυση νέας SA

Προστασία από Επιθέσεις Επανάληψης To IP είναι ένα αναξιόπιστο ασυνδεσμικό πρωτόκολλο Δεν εγγυάται την ορθή σειρά παράδοσης των πακέτων Χρήση του παραθύρου μεγέθους W To δεξιό τμήμα του παραθύρου αντιπροσωπεύει τη μεγαλύτερη τιμή N του πεδίου SN

Προστασία από Επιθέσεις Επανάληψης Για κάθε πακέτο που έχει ληφθεί σωστά και έχει τιμή SN στο διάστημα [Ν-W+1,N] ελέγχεται Έαν έχει πραγματοποιηθεί επαλήθευση του ίδιο πακέτου ο κώδικας αυθεντικοποίησης Για κάθε πακέτο που βρίσκεται μετά το Ν, ελέγχεται ο κώδικας αυθεντικοποίησης και το παράθυρο προχωράει ώστε η τιμή του SN να είναι το δεξιό άκρο του παραθύρου

Προστασία από Επιθέσεις Επανάληψης Παράθυρο W ολισθαίνει δεξία εφόσον ληφθεί έκγυρο πακέτο με SN > N N N-W Δεν έχει ληφθεί έγκρυο πακέτο

Σύνοψη Λειτουργιών Κατάσταση Μεταφοράς Κατάσταση Σήραγγας ΑΗ Αυθεντικοποίηση IP ωφέλιμου φορτίου και τμήμα κεφαλίδας IP Αυθεντικοποίηση ολόκληρου του εσωτερικού πακέτου, και τμήμα της εξωτερικής κεφαλίδας ESP Κρυπτογράφηση του φορτίου IP Κρυπτογράφηση ολόκληρου του εσωτερικού πακέτου

Πλεονεκτήματα IPSec Διαφανές στα υπεράνω από αυτό πρωτόκολλα Δεν απαιτείται η τροποποίηση των υπάρχοντων εφαρμογών Δεν απαιτείται η εκπαίδευση των χρηστών Διασφάλιση της κίνησης ενός δικτύου

Μειονεκτήματα IPSec Επιπρόσθετη επιβάρυνση Διαχείριση κλειδιών Υπολογιστική (Κρυπτογράφηση/Αυθεντικοποίηση) Bandwidth AH Μήκος = 128 bits MD5 = 128bits Tunnel mode + 160 bits ESP Mήκος 80 bits / MD5 128 bits (για αυθεντικοποίηση) Διαχείριση κλειδιών

Ερώτησεις